روش ها و استانداردهای تست نفوذ - وبلاگ IBM

فضای آنلاین به سرعت در حال رشد است و فرصت های بیشتری را برای حملات سایبری در یک سیستم کامپیوتری، شبکه یا برنامه وب باز می کند. برای کاهش و آماده شدن برای چنین خطراتی، آزمایش نفوذ یک گام ضروری برای یافتن آسیب‌پذیری‌های امنیتی است که مهاجم ممکن است از آنها استفاده کند.

تست نفوذ چیست؟

A تست نفوذ، یا "Pen test" یک تست امنیتی است که برای تمسخر یک حمله سایبری در عمل اجرا می شود. آ حمله سایبری ممکن است شامل تلاش برای فیشینگ یا نقض یک سیستم امنیتی شبکه باشد. بسته به کنترل های امنیتی مورد نیاز، انواع مختلفی از تست نفوذ در دسترس یک سازمان وجود دارد. این آزمایش را می توان به صورت دستی یا با ابزارهای خودکار از طریق لنز یک دوره عمل خاص یا روش تست قلم اجرا کرد.

چرا تست نفوذ و چه کسی درگیر است؟

شرایط "هک اخلاقی" و "آزمایش نفوذ" گاهی اوقات به جای یکدیگر استفاده می شوند، اما یک تفاوت وجود دارد. هک اخلاقی گسترده تر است امنیت سایبری زمینه ای که شامل هرگونه استفاده از مهارت های هک برای بهبود امنیت شبکه است. تست های نفوذ تنها یکی از روش هایی است که هکرهای اخلاقی از آن استفاده می کنند. هکرهای اخلاقی همچنین ممکن است تجزیه و تحلیل بدافزار، ارزیابی ریسک و سایر ابزارها و تکنیک های هک را برای کشف و رفع ضعف های امنیتی به جای ایجاد آسیب ارائه دهند.

آی بی ام هزینه گزارش نقض داده در سال 2023، میانگین جهانی هزینه نقض داده ها در سال 2023، 4.45 میلیون دلار بود که افزایش 15 درصدی در طول 3 سال را نشان می دهد. یکی از راه‌های کاهش این نقض‌ها، انجام آزمایش‌های دقیق و دقیق نفوذ است.

شرکت‌ها آزمایشگرهای قلم را استخدام می‌کنند تا حملات شبیه‌سازی شده را علیه برنامه‌ها، شبکه‌ها و سایر دارایی‌های خود انجام دهند. با راه اندازی حملات جعلی، تسترهای نفوذ کمک می کنند تیم های امنیتی آسیب پذیری های امنیتی حیاتی را کشف کنید و وضعیت امنیتی کلی را بهبود بخشید. این حملات اغلب توسط تیم های قرمز یا تیم های امنیتی تهاجمی انجام می شود. این تیم قرمز تاکتیک‌ها، تکنیک‌ها و رویه‌های مهاجمان واقعی را در برابر سیستم خود سازمان به عنوان راهی برای ارزیابی ریسک امنیتی شبیه‌سازی می‌کند.

چندین روش تست نفوذ وجود دارد که باید هنگام ورود به فرآیند تست قلم در نظر بگیرید. انتخاب سازمان به دسته بندی سازمان هدف، هدف آزمون قلم و محدوده آزمون امنیتی بستگی دارد. هیچ رویکردی برای همه وجود ندارد. این نیاز به یک سازمان دارد که مسائل امنیتی و خط مشی امنیتی خود را درک کند تا قبل از فرآیند تست قلم، یک تجزیه و تحلیل آسیب پذیری منصفانه وجود داشته باشد.

دموی تست قلم را از X-Force تماشا کنید

5 روش برتر تست نفوذ

یکی از اولین گام‌ها در فرآیند تست قلم، تصمیم‌گیری درباره روش‌شناسی است که باید دنبال شود.

در زیر، ما به پنج مورد از محبوب‌ترین چارچوب‌های تست نفوذ و روش‌های تست قلم می‌پردازیم تا به راهنمایی ذینفعان و سازمان‌ها برای رسیدن به بهترین روش برای نیازهای خاصشان کمک کنیم و اطمینان حاصل کنیم که همه حوزه‌های مورد نیاز را پوشش می‌دهد.

1. راهنمای روش‌شناسی تست امنیت منبع باز

راهنمای روش‌شناسی تست امنیت منبع باز (OSSTMM) یکی از محبوب‌ترین استانداردهای تست نفوذ است. این متدولوژی برای تست امنیتی مورد بررسی قرار گرفته و توسط موسسه امنیت و روش‌های باز (ISECOM) ایجاد شده است.

این روش مبتنی بر رویکردی علمی برای تست قلم با راهنماهای قابل دسترس و سازگار برای آزمایش کنندگان است. OSSTMM شامل ویژگی های کلیدی، مانند تمرکز عملیاتی، آزمایش کانال، معیارها و تجزیه و تحلیل اعتماد در متدولوژی خود است.

OSSTMM چارچوبی برای تست نفوذ شبکه و ارزیابی آسیب پذیری برای متخصصان تست قلم فراهم می کند. قرار است چارچوبی برای ارائه‌دهندگان برای یافتن و رفع آسیب‌پذیری‌ها، مانند داده‌های حساس و مسائل مربوط به احراز هویت باشد.

2. Web Application Security Project را باز کنید

OWASP، مخفف Open Web Application Security Project، یک سازمان منبع باز است که به امنیت برنامه های وب اختصاص داده شده است.

هدف این سازمان غیرانتفاعی این است که همه مطالب خود را رایگان و به راحتی برای هر کسی که می‌خواهد امنیت برنامه وب خود را بهبود بخشد، در دسترس قرار دهد. OWASP خود را دارد بالا 10 (لینک خارج از IBM.com) گزارشی است که به خوبی حفظ شده است و بزرگترین نگرانی ها و خطرات امنیتی برای برنامه های کاربردی وب، مانند اسکریپت نویسی بین سایتی، احراز هویت شکسته و قرار گرفتن در پشت دیوار آتش را تشریح می کند. OWASP از 10 لیست برتر به عنوان مبنایی برای راهنمای تست OWASP خود استفاده می کند. 

این راهنما به سه بخش تقسیم می‌شود: چارچوب تست OWASP برای توسعه برنامه‌های کاربردی وب، روش‌شناسی تست برنامه کاربردی وب و گزارش. روش برنامه کاربردی وب را می توان به طور جداگانه یا به عنوان بخشی از چارچوب تست وب برای آزمایش نفوذ برنامه های کاربردی وب، تست نفوذ برنامه تلفن همراه، تست نفوذ API و تست نفوذ اینترنت اشیا استفاده کرد.

3. استاندارد اجرای تست نفوذ

PTES یا استاندارد اجرای تست نفوذ، یک روش تست نفوذ جامع است.

PTES توسط تیمی از متخصصان امنیت اطلاعات طراحی شده است و از هفت بخش اصلی تشکیل شده است که تمام جنبه های تست قلم را پوشش می دهد. هدف PTES داشتن دستورالعمل‌های فنی برای تشریح آنچه سازمان‌ها باید از تست نفوذ انتظار داشته باشند و آنها را در طول فرآیند، از مرحله قبل از تعامل، راهنمایی می‌کند.

هدف PTES این است که پایه آزمایش‌های نفوذ باشد و یک روش استاندارد برای متخصصان و سازمان‌های امنیتی ارائه کند. این راهنما طیف وسیعی از منابع، مانند بهترین شیوه ها را در هر مرحله از فرآیند تست نفوذ، از ابتدا تا انتها ارائه می دهد. برخی از ویژگی های کلیدی PTES بهره برداری و پس از بهره برداری است. بهره برداری به فرآیند دستیابی به یک سیستم از طریق تکنیک های نفوذ مانند مهندسی اجتماعی و شکستن پسورد پس بهره برداری زمانی است که داده ها از یک سیستم در معرض خطر استخراج می شوند و دسترسی حفظ می شود.

4. چارچوب ارزیابی امنیت سیستم اطلاعات

چارچوب ارزیابی امنیت سیستم اطلاعات (ISSAF) یک چارچوب تست قلم است که توسط گروه امنیت سیستم های اطلاعاتی (OISSG) پشتیبانی می شود.

این روش دیگر حفظ نمی شود و احتمالاً بهترین منبع برای به روزترین اطلاعات نیست. با این حال، یکی از نقاط قوت اصلی آن این است که مراحل تست خودکار را با ابزارهای خاص تست قلم پیوند می دهد. این نوع قالب می تواند پایه خوبی برای ایجاد یک روش شناسی فردی باشد.

5. موسسه ملی استاندارد و فناوری  

NIST، مخفف مؤسسه ملی استاندارد و فناوری، یک چارچوب امنیت سایبری است که مجموعه ای از استانداردهای تست قلم را برای دولت فدرال و سازمان های خارجی ارائه می دهد تا از آنها پیروی کنند. NIST یک آژانس در وزارت بازرگانی ایالات متحده است و باید به عنوان حداقل استاندارد در نظر گرفته شود.

تست نفوذ NIST با راهنمایی های ارسال شده توسط NIST مطابقت دارد. برای رعایت چنین راهنمایی‌هایی، سازمان‌ها باید آزمایش‌های نفوذ را با پیروی از مجموعه دستورالعمل‌های از پیش تعیین‌شده انجام دهند.

مراحل تست قلم

یک محدوده تعیین کنید

قبل از شروع آزمون قلم، تیم آزمایش و شرکت محدوده ای را برای آزمایش تعیین می کنند. دامنه مشخص می‌کند که کدام سیستم‌ها آزمایش می‌شوند، چه زمانی آزمایش انجام می‌شود، و روش‌هایی که آزمایش‌کنندگان قلم می‌توانند استفاده کنند. دامنه همچنین تعیین می‌کند که آزمایش‌کنندگان قلم چه مقدار اطلاعات از قبل داشته باشند.

آزمون را شروع کنید

مرحله بعدی آزمایش طرح محدوده و ارزیابی آسیب پذیری ها و عملکرد خواهد بود. در این مرحله می توان شبکه و اسکن آسیب پذیری را انجام داد تا درک بهتری از زیرساخت های سازمان به دست آورد. تست داخلی و تست خارجی بسته به نیاز سازمان قابل انجام است. تست‌های مختلفی وجود دارد که تست‌کنندگان قلم می‌توانند انجام دهند، از جمله تست جعبه سیاه، تست جعبه سفید و تست جعبه خاکستری. هر کدام درجات مختلفی از اطلاعات را در مورد سیستم هدف ارائه می دهند.

هنگامی که یک نمای کلی از شبکه ایجاد شد، آزمایش کنندگان می توانند تجزیه و تحلیل سیستم و برنامه های کاربردی را در محدوده داده شده شروع کنند. در این مرحله، تسترهای قلم در حال جمع آوری اطلاعات تا حد امکان برای درک هرگونه پیکربندی نادرست هستند.

گزارش یافته ها

مرحله آخر گزارش و بررسی است. در این مرحله، تهیه یک گزارش تست نفوذ با تمام یافته‌های آزمایش قلم که آسیب‌پذیری‌های شناسایی‌شده را مشخص می‌کند، مهم است. گزارش باید شامل طرحی برای کاهش و خطرات احتمالی در صورت عدم اصلاح باشد.

تست قلم و IBM

اگر سعی کنید همه چیز را آزمایش کنید، زمان، بودجه و منابع خود را هدر خواهید داد. با استفاده از یک بستر ارتباطی و همکاری با داده های تاریخی، می توانید شبکه ها، برنامه ها، دستگاه ها و سایر دارایی های پرخطر را متمرکز، مدیریت و اولویت بندی کنید تا برنامه تست امنیتی خود را بهینه کنید. X-Force® Red Portal به همه افراد درگیر در اصلاح این امکان را می‌دهد که بلافاصله پس از کشف آسیب‌پذیری‌ها، یافته‌های آزمایش را مشاهده کنند و آزمایش‌های امنیتی را در زمانی که راحت هستند برنامه‌ریزی کنند.

خدمات تست نفوذ شبکه X-Force را کاوش کنید